Comme nous l'avons évoqué dans notre dernier article, les attaques par prise de contrôle de compte (Account Takeover Fraud ou ATO) peuvent se multiplier très rapidement. Décoder l'ADN d'une prise de contrôle de compte constitue la première étape pour se défendre.
Si un fraudeur réussit à accéder en ligne à un compte bancaire ou marchand qui ne lui appartient pas, il peut commettre davantage de nouvelles fraudes en utilisant les données et les informations personnelles identifiables (PII) du consommateur ciblé. Les fraudeurs peuvent réutiliser l’identité d’une victime, ou des éléments de son identité réelle, pour créer des identités synthétiques et ouvrir de nouveaux comptes bancaires dans différentes institutions financières, demander de nouvelles cartes de crédit ou encore des prêts au nom du titulaire du compte.
Les banques peuvent répondre à une attaque ATO ou bien la déjouer. Si elles répondent, c’est que l’attaque du fraudeur a réussi ; les retombées peuvent alors avoir un impact considérable sur la réputation de l’institution financière et saper la confiance des consommateurs dans l’organisation. Sans oublier la pression financière considérable que les clients peuvent subir en essayant de régler les dommages causés sur leurs comptes et leur historique en raison de la fraude.
En comprenant l’ADN de la prise de contrôle de compte (ATO), voici ce que les banques peuvent faire pour prévenir de futures attaques.
Conseil n° 1. Connaître l’ADN du profil de vos véritables clients
La prévention est une stratégie bien plus efficace lorsqu’il s’agit d’ATO. Comprendre l’ADN d’une attaque ATO devrait être une composante essentielle d’une stratégie de détection de fraude bancaire mise en place par les banques. La seconde consiste à décoder l’ADN financier de leurs véritables clients. Cela implique de développer une analyse du profil de leur clientèle et de leurs habitudes.
Pour établir un profil ADN de véritables clients, les banques et les entreprises doivent s’appuyer sur plusieurs données différentes générées par ceux-ci afin d’obtenir une vue d’ensemble de leur comportement habituel. Ces données peuvent inclure des actions biométriques, comme la façon dont ils déplacent leur souris, tapent sur un clavier ou tiennent un appareil mobile. Il peut également s’agir de données comportementales, comme l’heure à laquelle un client se connecte habituellement à son compte, les appareils et réseaux mobiles qu’il utilise habituellement, le temps qu’il passe sur un site ou une plateforme en ligne et la manière dont il effectue habituellement ses transactions.
La détection des logiciels dangereux permet également d’identifier les facteurs précédant les attaques ATO, tels que la saisie de frappe, le phishing ou les chevaux de Troie d’accès à distance. Tous ces exemples montrent que la prévention des fraudes doit commencer au moment de la connexion afin d’empêcher toute attaque potentielle et toute tentative future de fraude.
Cette connaissance des habitudes des clients peut aider les banques à déterminer si une tentative d’ATO est en cours, dans le cas où le compte en question reflète soudainement un comportement différent. L’utilisation d’appareils mobiles inconnus, un taux anormalement élevé de tentatives de connexion infructueuses, des modifications des paramètres linguistiques, des tentatives de connexion à partir de nouveaux emplacements géographiques ou la détection de logiciels dangereux peuvent alerter les banques et indiquer que ce compte fait l’objet d’une activité inhabituelle, voire d’une attaque active, et qu’il présente un risque élevé de prise de contrôle (ATO). Connaître le moment où se produisent les activités habituelles est la première étape de la prévention et du déploiement d’un mécanisme de réponse approprié afin de protéger les clients contre toute manipulation visant à compromettre leur session ou à révéler leurs informations d’identification.
Conseil n° 2. Informer vos clients
Enseigner aux clients le mode de fonctionnement des attaques ATO peut constituer une étape importante dans la prévention de futures fraudes. Les fraudeurs doivent avoir accès aux informations personnelles identifiables des clients réels pour commettre des attaques ATO. Les banques et les entreprises doivent sensibiliser leurs clients aux tactiques de fraude telles que les tentatives de phishing comme les faux sites et les escroqueries par SMS qui les incitent à révéler leurs informations personnelles. Les consommateurs doivent également être encouragés à utiliser des mots de passe sécurisés et à les modifier régulièrement.
Conseil n° 3. Promouvoir une bonne hygiène numérique
Le fait d’expliquer aux clients que leurs habitudes quotidiennes en ligne peuvent révéler des informations personnelles contribue également à la prévention de l’ATO. Les banques peuvent avertir leurs clients des risques que présentent certaines applications de jeux mobiles téléchargés concernant la protection de leur vie privée, notamment s’ils contiennent un logiciel malveillant. Les fraudeurs peuvent également utiliser les profils des clients sur les réseaux sociaux pour créer de faux profils et tenter de se faire passer pour des utilisateurs réels.
Conseil n° 4. Investir dans une sécurité à plusieurs niveaux
Les banques peuvent déjouer les tentatives d’ATO si elles ont mis en place des mesures de protection efficaces. Il peut s’agir d’une authentification à deux facteurs et de mesures biométriques pour accéder aux comptes bancaires ou autoriser des types de transactions spécifiques. Plus les niveaux de sécurité sont nombreux, plus il est difficile pour les fraudeurs de réussir leurs tentatives de prise de contrôle des comptes. Toutefois, une authentification trop contraignante peut également entraîner des tensions pour les clients. C’est pourquoi les banques devraient vérifier que leurs clients n’ont rien changé entre leur interaction précédente et celle en cours. Cela garantit que seuls les utilisateurs réels interagissent avec le système et demeurent autorisés à effectuer des transactions.
Principaux points à retenir
Les prises de contrôle de comptes (ATO) représentent une des formes de fraude les plus récurrentes car elles permettent de commettre un nombre important de nouvelles fraudes. S’il n’est pas contrôlé, l’ATO peut devenir un phénomène à part entière. La clé est de mettre fin à ce type de fraude avant qu’elle n’atteigne la phase de transaction. Pour cela, il faut d’abord décoder son ADN et ensuite comprendre l’ADN financier d’un client réel.